신고 포상금 16억 중 14억 KISA가 지원
"기업들, 취약점 스스로 보완·투자해야"
국내 기업들의 해킹 여파로 사이버 보안에 대한 관심이 커진 가운데 버그바운티(보안 취약점 신고포상제)의 포상금 90%를 정부가 지급하는 것으로 나타났다.
1일 국회 과학기술정보방송통신위원회 소속 한민수 더불어민주당 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 2020년부터 2025년 상반기까지 기업의 취약점 신고 포상금 총 16억여원 중 14억4000여만원(약 90%)을 KISA가 지급한 것으로 나타났다.
현행 포상금 제도는 기업과 KISA가 예산을 분담한다. 공동운영사로 참여하는 기업만 자사 취약점 신고 포상금을 기업이 부담하고 나머지 기업에 대한 포상금은 KISA가 정부 예산으로 지급하는 구조다.
KISA는 상시로 보안 취약점을 신고받고 분기별로 교수, 취약점 전문가, 소프트웨어 사업자 등이 참여하는 평가위원회를 구성해 취약점을 평가한 후 발생할 수 있는 사고 범위, 악용 용이성 등을 고려해 5만원~1000만원의 포상금을 지급하고 있다.
KISA는 정부 지원을 기반으로 민간참여를 확산하기 위해 2012년부터 제도를 운영했지만 13년간 신고포상제도에 공동운영사로 참여한 기업은 33곳에 불과했다. 이 중에서도 네이버, 카카오, 삼성SDS, LG전자, 지니언스 5개 기업만이 독립 운영으로 전환했다.
한 의원은 "미국, 유럽연합(EU) 등 해외에서는 버그바운티가 활성화돼있는데 국내 기업들은 여전히 자발적 보안 투자 의지가 부족한 실정"이라며 "우리 기업들이 보안 취약점을 스스로 찾고 보완하는데 투자를 아끼지 않아야 한다"고 밝혔다.
황서율 기자 chestnut@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>